Configura un provider di identità di terze parti

Supportato in:

Puoi utilizzare Cloud Identity, Google Workspace o un provider di identità di terze parti (ad esempio Okta o Azure AD) per gestire utenti, gruppi e autenticazione.

Questa pagina descrive come utilizzare un provider di identità di terze parti configurando la federazione delle identità della forza lavoro. Per informazioni sull'utilizzo di Cloud Identity o Google Workspace, consulta Configurare un provider di identità Google Cloud.

La federazione delle identità della forza lavoro di Google ti consente di grantire ai carichi di lavoro on-premise o multi-cloud l'accesso alle risorse Google Cloud senza dover utilizzare una chiave dell'account di servizio. Puoi utilizzare la federazione delle identità della forza lavoro con qualsiasi provider di identità (IdP) di terze parti che supporta OpenID Connect (OIDC), tra cui Microsoft Azure, Okta o SAML 2.0.

Google Security Operations richiede l'utilizzo della federazione delle identità della forza lavoro di Google come broker SSO per quanto segue:

  • Clienti con requisiti di conformità FedRAMP High (o superiore).
  • Clienti che accedono a qualsiasi controllo a livello di azienda in Google Security Operations abilitato da Google Cloud, incluso controllo dell'accesso basato su ruoli (RBAC) per dati e funzionalità utilizzando Identity and Access Management (IAM).
  • Clienti che utilizzano la gestione delle credenziali self-service per l'accesso programmatico all'API Chronicle.

Google Security Operations supporta il servizio SSO SAML avviato dal fornitore di servizi (SP) per gli utenti. Con questa funzionalità, gli utenti possono accedere direttamente a Google Security Operations. Google Security Operations invia una richiesta tramite la federazione delle identità per la forza lavoro di Google Cloud Identity and Access Management (IAM) al provider di identità (IdP) di terze parti.

Dopo che l'IdP ha autenticato l'identità dell'utente, l'utente viene reindirizzato a Google Security Operations con un'affermazione di autenticazione. La federazione delle identità del personale di Google Cloud funge da intermediario nel flusso di autenticazione.

Comunicazione tra Google Security Operations, la federazione delle identità della forza lavoro di Google Cloud IAM e l'IdP

Comunicazione tra Google Security Operations, la federazione delle identità per la forza lavoro di IAM e l'IdP

A livello generale, la comunicazione è la seguente:

  1. L'utente accede a Google Security Operations.
  2. Google Security Operations cerca le informazioni sull'IdP nel pool di identità della forza lavoro di Google Cloud.
  3. Viene inviata una richiesta all'IDP.
  4. L'affermazione SAML viene inviata al pool di identità del personale di Google Cloud.
  5. Se l'autenticazione va a buon fine, Google Security Operations riceve solo gli attributi SAML definiti quando hai configurato il provider di forza lavoro nel pool di identità della forza lavoro.

Gli amministratori di Google Security Operations creano gruppi nel proprio provider di identità, configurano l'applicazione SAML in modo da trasmettere le informazioni sull'appartenenza al gruppo nell'affermazione e poi associano utenti e gruppi ai ruoli predefiniti di Google Security Operations in IAM o ai ruoli personalizzati che hanno creato.

L'accesso avviato dall'IDP (avvio di un accesso dalla dashboard dell'IDP) non è supportato. Contatta il tuo rappresentante di Google Security Operations per richiedere questa funzionalità se la tua organizzazione ne ha bisogno.

Questo documento descrive i passaggi di alto livello per configurare l'autenticazione tramite un provider di identità (IdP) di terze parti utilizzando la federazione delle identità per la forza lavoro di Google Cloud. Dopo aver eseguito i passaggi descritti in questo documento, potrai accedere a Google Security Operations utilizzando il tuo IdP di terze parti e gestire l'accesso a Google Security Operations utilizzando l'accesso SSO tramite SAML tramite la federazione delle identità della forza lavoro.

Prima di iniziare

I passaggi riportati di seguito descrivono come eseguire la configurazione utilizzando i comandi gcloud. Se un passaggio può essere eseguito nella console Google Cloud, viene fornito un link alla documentazione IAM correlata.

Pianifica l'implementazione

La sezione seguente descrive le decisioni che devi prendere e le informazioni che devi definire prima di eseguire i passaggi descritti in questo documento.

Definisci il pool di identità per la forza lavoro e il provider della forza lavoro

Nell'ambito di questa procedura, configurerai la federazione delle identità per la forza lavoro di Google Cloud come intermediario nel flusso di autenticazione. Per farlo, crea le seguenti risorse Google Cloud:

  • Pool di forza lavoro: un pool di identità della forza lavoro ti consente di concedere alla tua forza lavoro (ad es. dipendenti) l'accesso a Google Security Operations.
  • Provider di forza lavoro: un provider di forza lavoro è una risorsa secondaria del pool di identità per la forza lavoro. Memorizza i dettagli di un singolo IdP.

La relazione tra il pool di identità della forza lavoro, i provider della forza lavoro e un'istanza di Google Security Operations, identificata da un singolo sottodominio del cliente, è la seguente:

  • Un pool di identità per la forza lavoro viene definito a livello di organizzazione.
  • A ogni istanza di Google Security Operations è associato un pool di identità del personale configurato.
  • Un pool di identità per la forza lavoro può avere più provider di forza lavoro.
  • Ogni fornitore di servizi per la forza lavoro integra un provider di identità di terze parti con il pool di identità per la forza lavoro.
  • Il pool di identità della forza lavoro creato seguendo questi passaggi deve essere dedicato a Google SecOps. Sebbene tu possa gestire più pool di identità per la forza lavoro per altri scopi, il pool di identità per la forza lavoro creato per Google SecOps non può essere condiviso.
  • Ti consigliamo di creare il pool di identità della forza lavoro nella stessa organizzazione Google Cloud che contiene il progetto associato a Google SecOps.

Ti aiuta a risparmiare tempo se predefinisci le informazioni sul pool di identità per la forza lavoro e sul provider della forza lavoro. Utilizza queste informazioni per configurare sia l'applicazione SAML dell'IdP sia la federazione delle identità della forza lavoro.

Scegli i valori per i seguenti identificatori:

  • ID pool di forza lavoro (WORKFORCE_POOL_ID): seleziona un valore che indichi l'ambito o lo scopo del pool di identità della forza lavoro. Il valore deve soddisfare i seguenti requisiti:
    • Deve essere univoco a livello globale.
    • Deve utilizzare solo lettere minuscole [a-z], cifre [0-9] e trattini [-].
    • Deve iniziare con un carattere minuscolo [a-z].
    • Deve terminare con un carattere minuscolo [a-z] o con una cifra [0-9].
    • Deve avere una lunghezza compresa tra 4 e 61 caratteri.
  • Nome visualizzato del pool di forza lavoro (WORKFORCE_POOL_DISPLAY_NAME): definisci un nome facile da usare per il pool di identità della forza lavoro.
  • Descrizione del pool di forza lavoro (WORKFORCE_POOL_DESCRIPTION): definisci una descrizione dettagliata del pool di identità della forza lavoro.
  • ID fornitore della forza lavoro (WORKFORCE_PROVIDER_ID): scegli un valore che indichi l'IdP che rappresenta. Il valore deve soddisfare i seguenti requisiti:
    • Deve utilizzare solo lettere minuscole [a-z], cifre [0-9] e trattini [-].
    • Deve avere una lunghezza compresa tra 4 e 32 caratteri.
  • Nome visualizzato del provider di forza lavoro (WORKFORCE_PROVIDER_DISPLAY_NAME): definisci un nome facile da ricordare per il provider di forza lavoro. Deve contenere meno di 32 caratteri.
  • Descrizione del fornitore di personale (WORKFORCE_PROVIDER_DESCRIPTION): definisci una descrizione dettagliata del fornitore di personale.

Definisci gli attributi utente e i gruppi nell'IDP

Prima di creare l'applicazione SAML nell'IdP, identifica gli attributi e i gruppi utente necessari per configurare l'accesso alle funzionalità di Google Security Operations. Per ulteriori informazioni, consulta Configurare il controllo dell'accesso funzionalità utilizzando IAM e Autorizzazioni di Google Security Operations in IAM.

Queste informazioni sono necessarie durante le seguenti fasi della procedura:

  • Quando configuri l'applicazione SAML, crei i gruppi definiti durante la pianificazione. Configura l'applicazione SAML dell'IdP in modo da trasmettere le iscrizioni ai gruppi nell'affermazione.

  • Quando crei il provider della forza lavoro, mappi gli attributi e i gruppi di asserzione agli attributi Google Cloud. Queste informazioni vengono inviate nella rivendicazione dell'affermazione come parte dell'identità di un utente.

  • Quando configuri controllo dell'accesso basato su ruoli in Google Security Operations, utilizzi gli attributi utente e le informazioni sui gruppi per configurare l'accesso alle funzionalità di Google Security Operations.

    Google Security Operations fornisce più ruoli predefiniti che consentono ciascuno di accedere a funzionalità specifiche. Puoi mappare i gruppi definiti nell'applicazione SAML dell'IdP a questi ruoli predefiniti.

Assicurati di creare un gruppo IdP per gli amministratori che configurano gli utenti e i gruppi che possono accedere alle funzionalità di SOAR. Durante la procedura di onboarding, dovrai fornire il nome di questo gruppo in modo che gli utenti al suo interno possano configurare il controllo dell'accesso alle funzionalità correlate a SOAR.

Configura l'IdP

Questa sezione descrive solo la configurazione specifica necessaria in un'applicazione SAML dell'IdP per integrarsi con la federazione delle identità del personale di Google Cloud e Google Security Operations.

  1. Crea una nuova applicazione SAML nell'IdP.

  2. Configura l'applicazione con il seguente URL Assertion Consumer Service (ACS), indicato anche come URL Single Sign-On a seconda del fornitore di servizi.

    https://auth.backstory.chronicle.security/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

    Sostituisci quanto segue:

    • WORKFORCE_POOL_ID: l'identificatore che hai definito per il pool di identità della forza lavoro.

    • WORKFORCE_PROVIDER_ID: l'identificatore definito per il fornitore di risorse umane.

      Per una descrizione di questi valori, consulta Pianificare l'implementazione.

  3. Configura l'applicazione con il seguente ID entità (chiamato anche ID entità SP).

    https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

    Sostituisci quanto segue:

    • WORKFORCE_POOL_ID: l'identificatore che hai definito per il pool di identità della forza lavoro.
    • WORKFORCE_PROVIDER_ID: l'identificatore che hai definito per il fornitore di risorse umane.

  4. Configura l'identificatore del nome nel tuo provider di identità per assicurarti che il campo NameID venga riportato nella risposta SAML.

    Puoi impostare un valore che supporti i criteri della tua organizzazione, ad esempio indirizzo email o nome utente. Per informazioni sulla configurazione di questo valore, consulta la documentazione dell'IdP. Per ulteriori informazioni su questo requisito, vedi Risolvere i problemi relativi alla federazione delle identità per la forza lavoro.

  5. Se vuoi, crea gli attributi del gruppo nell'applicazione SAML. Li hai definiti quando hai pianificato l'implementazione dell'IDP.

  6. Scarica il file XML dei metadati dell'applicazione. Nella sezione successiva, carica questo file dal tuo sistema locale alla home directory di Google Cloud utilizzando Cloud Shell.

Configura la federazione delle identità per la forza lavoro

Questa sezione descrive solo i passaggi specifici necessari per configurare la federazione delle identità del personale con l'applicazione SAML dell'IdP che hai creato nella sezione precedente. Per ulteriori informazioni sulla gestione dei pool di identità per la forza lavoro, consulta Gestire i provider di pool di identità per la forza lavoro

  1. Apri la console Google Cloud come utente con le autorizzazioni richieste nel progetto associato a Google Security Operations. Hai identificato o creato questo utente in precedenza. Consulta la sezione Prima di iniziare.

  2. Avvia una sessione Cloud Shell.

  3. Imposta il progetto Google Cloud per cui viene fatturata e addebitata la quota per le operazioni eseguite utilizzando gcloud CLI. Utilizza il seguente comando gcloud come esempio:

    gcloud config set billing/quota_project PROJECT_ID

    Sostituisci PROJECT_ID con l'ID del progetto associato a Google Security Operations che hai creato in Configurare un progetto Google Cloud per Google Security Operations. Per una descrizione dei campi che identificano un progetto, consulta Creazione e gestione dei progetti.

    Per informazioni sulle quote, consulta i seguenti documenti:

    Se si verifica un errore, consulta Errori relativi alla quota

Creare e configurare un pool di identità per la forza lavoro

Puoi configurare un pool di identità della forza lavoro per integrarlo con un provider di identità (IdP) esterno o con Google Workspace o Cloud Identity.

  1. Crea un pool di identità per la forza lavoro.

    • Crea un pool di identità per la forza lavoro per un provider di identità di terze parti:

      Utilizza il seguente comando gcloud come esempio:

      gcloud iam workforce-pools create WORKFORCE_POOL_ID\
  --location="global" \
  --organization="ORGANIZATION_ID" \
  --description="WORKFORCE_POOL_DESCRIPTION" \
  --display-name="WORKFORCE_POOL_DISPLAY_NAME"

      Sostituisci quanto segue:

      • WORKFORCE_POOL_ID: l'identificatore che hai definito per il pool di identità della forza lavoro.
      • ORGANIZATION_ID: l'ID numerico dell'organizzazione.
      • WORKFORCE_POOL_DESCRIPTION: specifica una descrizione del pool di identità della forza lavoro.
      • WORKFORCE_POOL_DISPLAY_NAME: specifica un nome facile da ricordare per il pool di identità della forza lavoro.

      Per eseguire questa configurazione utilizzando la console Google Cloud, consulta Creare un pool.

      Se vuoi utilizzare Google Workspace o Cloud Identity per accedere a Google SecOps, aggiungi i flag --allowed-services domain=backstory.chronicle.security e --disable-programmatic-signin al comando:

      gcloud iam workforce-pools create WORKFORCE_POOL_ID\
      --location="global" \
      --organization="ORGANIZATION_ID" \
      --description="WORKFORCE_POOL_DESCRIPTION" \
      --display-name="WORKFORCE_POOL_DISPLAY_NAME" \
      --allowed-services domain=backstory.chronicle.security \
      --disable-programmatic-signin

      Questo comando crea un pool di forza lavoro che non può essere utilizzato per accedere a Google Cloud, ma devi utilizzare questi flag per gestire questi scenari.

  2. Se nella riga di comando ti viene chiesto di abilitare l'API Chronicle, digita Yes.

Crea un provider di identità per la forza lavoro

  1. Carica il file dei metadati dell'applicazione SAML nella home directory di Cloud Shell facendo clic su Altro >. I file possono essere caricati solo nella home directory. Per altre opzioni per trasferire file tra Cloud Shell e la tua workstation locale, vedi Caricare e scaricare file e cartelle da Cloud Shell.

  2. Prendi nota del percorso della directory in cui hai caricato il file XML dei metadati dell'applicazione SAML in Cloud Shell. Ti servirà questo percorso nel passaggio successivo.

  3. Crea un provider del pool di identità della forza lavoro e specifica i dettagli dell'IdP.

    Utilizza il seguente comando gcloud come esempio:

    gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
  --workforce-pool="WORKFORCE_POOL_ID" \
  --location="global" \
  --display-name="WORKFORCE_PROVIDER_DISPLAY_NAME" \
  --description="WORKFORCE_PROVIDER_DESCRIPTION" \
  --idp-metadata-path=PATH_TO_METADATA_XML \
  --attribute-mapping="ATTRIBUTE_MAPPINGS"

    Per ulteriori informazioni su questi valori, consulta Pianificare l'implementazione.

    Sostituisci quanto segue:

    • WORKFORCE_PROVIDER_ID: il valore definito per l'ID fornitore del personale.
    • WORKFORCE_POOL_ID: il valore definito per l'ID del pool di identità della forza lavoro.
    • WORKFORCE_PROVIDER_DISPLAY_NAME: un nome facile da ricordare per il fornitore di personale. Deve contenere meno di 32 caratteri.
    • WORKFORCE_PROVIDER_DESCRIPTION: una descrizione del fornitore di forza lavoro.
    • PATH_TO_METADATA_XML: la posizione della directory Cloud Shell del file XML dei metadati dell'applicazione caricato utilizzando Cloud Shell, ad esempio: /path/to/sso_metadata.xml.

    • ATTRIBUTE_MAPPINGS: definizione di come mappare gli attributi di asserzione agli attributi Google Cloud. Per interpretare queste mappature viene utilizzato il Common Expression Language. Ad esempio:

      google.subject=assertion.subject,google.display_name=assertion.attributes.name[0],google.groups=assertion.attributes.groups

      L'esempio precedente mappa i seguenti attributi:

      • assertion.subject a google.subject. Si tratta di un requisito minimo.
      • assertion.attributes.name[0] a google.display_name.
      • assertion.attributes.groups all'attributo google.groups.

      Se esegui questa configurazione per Google Security Operations, che include Google Security Operations SIEM e Google Security Operations SOAR, devi mappare anche i seguenti attributi richiesti da Google Security Operations SOAR:

      • attribute.first_name
      • attribute.last_name
      • attribute.user_email
      • google.groups

      Scopri di più sul provisioning e sulla mappatura degli utenti per Google Security Operations SOAR.

      Per impostazione predefinita, Google Security Operations legge le informazioni sui gruppi dai seguenti nomi degli attributi di asserzione insensibili alle maiuscole: _assertion.attributes.groups_, _assertion.attributes.idpGroup_ e _assertion.attributes.memberOf_.

      Quando configuri l'applicazione SAML in modo che trasmetta le informazioni sull'appartenenza al gruppo nella dichiarazione, imposta il nome dell'attributo gruppo su _group_, _idpGroup_ o _memberOf_.

      Nel comando di esempio, puoi sostituire assertion.attributes.groups con assertion.attributes.idpGroup o assertion.attributes.memberOf, che rappresenta il nome dell'attributo del gruppo configurato nell'applicazione SAML dell'IDP e che contiene le informazioni sull'appartenenza al gruppo nell'affermazione.

      L'esempio seguente mappa più gruppi all'attributo google.groups:

      google.groups="(has(assertion.attributes.idpGroup) ? assertion.attributes.idpGroup : []) + (has(assertion.attributes.groups) ? assertion.attributes.groups : []) + (has(assertion.attributes.memberof) ? assertion.attributes.memberof : [])"

      Il seguente esempio mappa il gruppo http://schemas.xmlsoap.org/ws/2005/05/identity/claims/group contenente caratteri speciali a google.groups:

      google.groups="assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/group']"

      Per saperne di più sulla mappatura degli attributi, consulta Mappature degli attributi.

      Per eseguire questa configurazione utilizzando la console Google Cloud, consulta Creare un provider SAML.

Concedi un ruolo per abilitare l'accesso a Google Security Operations

I passaggi che seguono descrivono come concedere un ruolo specifico utilizzando IAM in modo che gli utenti possano accedere a Google Security Operations. Esegui la configurazione utilizzando il progetto Google Cloud associato a Google Security Operations che hai creato in precedenza.

In questo esempio viene utilizzato il comando gcloud. Per utilizzare la console Google Cloud, consulta Concedere un singolo ruolo.

  1. Concedi il ruolo Chronicle API Viewer (roles/chronicle.viewer) agli utenti o ai gruppi che devono avere accesso all'applicazione Google Security Operations.

    L'esempio seguente concede il ruolo Visualizzatore dell'API Chronicle alle identità gestite utilizzando il pool di identità per la forza lavoro e il provider per la forza lavoro che hai creato in precedenza.

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/*"

    Sostituisci quanto segue:

    Per concedere il ruolo Visualizzatore API Chronicle a un gruppo specifico, esegui il seguente comando:

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"

    Sostituisci GROUP_ID: un gruppo nella rivendicazione google.groups mappata.

  2. Configura criteri IAM aggiuntivi per soddisfare i requisiti della tua organizzazione.

Verificare o configurare il controllo dell'accesso funzionalità di Google Security Operations

Se hai configurato la federazione delle identità della forza lavoro con attributi o gruppi mappati all'attributo google.groups, queste informazioni vengono trasmesse a Google Security Operations in modo da poter configurare il controllo dell'accesso basato su ruoli (RBAC) per le funzionalità di Google Security Operations.

Se l'istanza Google Security Operations ha già una configurazione RBAC, verifica che la configurazione originale funzioni come previsto.

Se non hai ancora configurato controllo dell'accesso dell'accesso, consulta la sezione Configurare il controllo dell'accesso dell'accesso alle funzionalità utilizzando IAM per informazioni su come controllare l'accesso alle funzionalità.

Modificare la configurazione della federazione delle identità per la forza lavoro

Se devi aggiornare il pool di identità per la forza lavoro o il provider per la forza lavoro, consulta Gestire i provider di pool di identità per la forza lavoro per informazioni su come aggiornare la configurazione.

La sezione Gestione delle chiavi in Creare un provider di pool di personale SAML descrive come aggiornare le chiavi di firma dell'IdP e poi la configurazione del provider di personale con il file XML dei metadati dell'applicazione più recente.

Di seguito è riportato un esempio di comando gcloud che aggiorna la configurazione del fornitore di personale:

gcloud iam workforce-pools providers update-saml WORKFORCE_PROVIDER_ID \
  --workforce-pool=WORKFORCE_POOL_ID \
  --location="global" \
  --display-name="WORKFORCE_PROVIDER_DISPLAY_NAME" \
  --description="WORKFORCE_PROVIDER_DESCRIPTION" \
  --idp-metadata-path=PATH_TO_METADATA_XML \
  --attribute-mapping="ATTRIBUTE_MAPPINGS"

Sostituisci quanto segue:

  • WORKFORCE_PROVIDER_ID: il valore definito per l'ID fornitore del personale.
  • WORKFORCE_POOL_ID: il valore definito per l'ID del pool di identità della forza lavoro.
  • WORKFORCE_PROVIDER_DISPLAY_NAME: un nome facile da ricordare per il fornitore di personale. Il valore deve contenere meno di 32 caratteri.
  • WORKFORCE_PROVIDER_DESCRIPTION: la descrizione del fornitore della forza lavoro.
  • PATH_TO_METADATA_XML: la posizione del file XML dei metadati dell'applicazione aggiornato, ad esempio: /path/to/sso_metadata_updated.xml.

  • ATTRIBUTE_MAPPINGS: gli attributi di asserzione mappati agli attributi Google Cloud. Ad esempio:

    google.subject=assertion.subject,google.display_name=assertion.attributes.name[0],google.groups=assertion.attributes.memberOf

Per assicurarti che il controllo degli accessi basato su ruoli di Google SecOps continui a funzionare come previsto, mappa anche l'attributo google.groups a tutti i gruppi utilizzati per definire i ruoli in Google SecOps.

Risolvere i problemi di configurazione

Se riscontri errori durante questa procedura, consulta Risolvere i problemi relativi alla federazione delle identità del personale per risolvere i problemi comuni. La sezione seguente fornisce informazioni sui problemi comuni riscontrati durante l'esecuzione dei passaggi descritti in questo documento.

Se i problemi persistono, contatta il tuo rappresentante di Google SecOps e fornisci il file dei log di rete di Chrome.

Errore command not found durante la creazione di un provider del pool di identità della forza lavoro

Quando crei un provider del pool di identità della forza lavoro e specifichi i dettagli dell'IdP, viene visualizzato il seguente errore:

Error: bash: --attribute-mapping=google.subject=assertion.subject,
google.display_name=assertion.attributes.name[0],
google.groups=assertion.attributes.groups: command not found

Verifica che PATH_TO_METADATA_XML sia la posizione in cui hai caricato il file XML dei metadati dell'applicazione SAML nella home directory di Cloud Shell.

The caller does not have permission errore

Quando esegui il comando gcloud projects add-iam-policy-binding per concedere i ruoli a utenti o gruppi, viene visualizzato il seguente errore:

ERROR: (gcloud.organizations.add-iam-policy-binding) User [ ] does not have
permission to access organizations instance [538073083963:getIamPolicy]
(or it may not exist): The caller does not have permission

Verifica di disporre delle autorizzazioni richieste. Per ulteriori informazioni, consulta la sezione Ruoli richiesti.

Passaggi successivi

Dopo aver completato i passaggi descritti in questo documento, svolgi quanto segue: